OSA-2003-21
1 サマリ
2 詳細
本アラートは各ソフトウェアベンダからの正式なアラートを受けたものではなく、ARMA 開発チームの推測による、潜在的なセキュリティー上の危惧についての情報です。
ARMA 開発チームは昨年12月、OSA-2002-32 において PNG 画像ライブラリのセキュリティアラートを発行しました。PNG は画像形式の一種で RFC-2083 および 将来の ISO 15948 として予定されている標準技術で、この標準実装はオープンソース、非オープンソースソフトウェアともに広く利用されています。
3月27日に RealNetworks 社は以下のアラートを発行しました。
|
|
「RealNetworks Releases Security Update to Address RealOne Player, RealPlayer Security Vulnerabilities.」
|
|
このアラートで報告されている脆弱性の内容は OSA-2002-32 とほぼ同一であるため、非オープンソースソフトウェアに取り込まれた PNG 標準実装の問題を修正したものと推測されます。このアラートは Windows および Mac OS の RealPlayer/RealOne Player を対象にしたもので、Linux 版 RealPlayer については触れられていませんが、バージョン等の関係から Linux 版についても同様の問題が存在する可能性が高いものと思われます。
RealNetworks 社の正式な対応としては、現在 alpha 版が配布されている RealOne Player(RealPlayer の後継) の新しいバージョンになるものと予想されます。従ってこの問題を重視する場合は現段階では RealPlayer の使用を停止することをお勧めいたします。
また先に述べたように PNG ライブラリは広く使用されているため、ARMA に含まれる、PNG を内部的に扱う他の非オープンソースソフトウェア、例えば AcrobatReader 、Java2 SDK Standard Edition でも今後同様の問題が報告される可能性があります。この問題を重視する場合は同様に利用を停止し、パッケージを削除することをお勧めします。
この問題についての他の情報については以下を参照してください。
|
|
「CAN-2003-0141」- Common Vulnerabilities and Exposures
|
|
3 対処方法
root になり以下のようにパッケージを削除してください。
|
# apt-get remove realplayer8
|
|
|
AcrobatReader、Java2 SDK Standard Edition も削除する場合は以下のようにパッケージを削除してください。
|
# apt-get remove acroread j2sdk-se
|
|
|
|